Llegamos a ustedes gracias a:



Reportajes y análisis

Auditoría avanzada de Microsoft 365: Lo que debe saber

[28/03/2021] Microsoft ha publicado información sobre sus técnicas de auditoría avanzada utilizadas en su plataforma Microsoft 365. Las herramientas son impresionantes. En primer lugar, permite a las empresas conservar registros de auditoría en todos los registros de auditoría de Exchange, SharePoint y Azure Active Directory, durante un año, con la capacidad de aumentar la retención de registros de auditoría durante 10 años, mediante la adición de un complemento de licencia. Esta retención de 10 años permitirá a las empresas realizar investigaciones y responder a las obligaciones regulatorias, legales e internas. Todos los demás registros de auditoría se conservarán durante 90 días de forma predeterminada.

El evento de registro MailItemsAccessed reemplaza MessageBind

Cuando ocurre una intrusión, la primera pregunta que se hace es: ¿A qué tuvo acceso el atacante? Microsoft ha expuesto el evento "MailItemsAccessed que puede ayudarlo a determinar si un atacante obtuvo acceso a información confidencial y el alcance de la infracción. Si un atacante simplemente obtuvo acceso a los mensajes de correo electrónico, MailItemsAccessed se activará incluso si no hay evidencia manifiesta de que el atacante haya leído el correo electrónico.

MailItemsAccessed reemplaza el antiguo registro de eventos MessageBind y expone las acciones del delegado, o propietario, en un buzón. También expone las acciones realizadas por un evento de sincronización, no solo un evento de cliente de correo. Si la intrusión es a través de una aplicación de sincronización de terceros, también podrá revisar ese acceso. Los eventos MailItemsAccessed también son menos ruidosos en su registro que con MessageBind.

https://www.youtube.com/watch?v=j_Aezh6F8tE&t=9s

Busque la limitación del buzón

Si cree que sus buzones de correo se han visto comprometidos, verifique si el buzón de correo se ha limitado, lo que significaría que el sistema no tendrá registros de auditoría completos disponibles para usted. Busque en el registro de auditoría unificado para determinar si tiene períodos limitados para revisar:

Search-UnifiedAuditLog -StartDate 02/01/2021 -EndDate 02/02/2021 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000 | Where {$_.AuditData -like '*"IsThrottled","Value":"True"*'} | FL

Busque actividades de sincronización o vinculación

A continuación, revise las actividades de sincronización o vinculación que puedan haber ocurrido durante este tiempo. La documentación de Microsoft tiene más información sobre estos procesos.

Dados los numerosos enlaces de Microsoft 365, recomiendo marcar el sitio de la comunidad que enumera todos los portales de administrador clave utilizados por los servicios de Microsoft. Busque el enlace al centro de cumplimiento de Microsoft 365 e inicie sesión con derechos de administrador global. Desplácese hacia abajo hasta la sección "Soluciones y haga clic en la sección "Auditoría. En el lado derecho del panel se encuentra la herramienta de búsqueda de registros de auditoría. Elija "Elementos del buzón accedidos en el menú desplegable "Actividades del buzón de Exchange.

Auditoría Microsoft 365, Seguridad

La búsqueda resultante le proporcionará información sobre qué dirección IP accedió a InternetMessageID y en qué momento. A partir de aquí, debería poder revisar los MessageID y los posibles adjuntos a los que también accedieron los atacantes.

Auditoría Microsoft 365, seguridad

Puede utilizar la misma interfaz para revisar los mensajes enviados. Una vez más, use la herramienta de búsqueda de registros de auditoría y esta vez use el mensaje "Enviado para revisar esos elementos y reducir lo que los atacantes vieron o accedieron a través de sus carpetas enviadas.

Si ha estado rastreando las diversas herramientas y recursos para los ataques de SolarWinds, notará que muchos de estos scripts buscan MailItemsAccessed e informan al respecto. Por ejemplo, en el script Sparrow de CISA la siguiente sección de PowerShell incluye una consulta que busca elementos a los que se accede por correo.

If ($AppIdInvestigation -eq "Yes"){
    If ($LicenseAnswer -eq "Yes"){
      #Searches for the AppID to see if it accessed mail items.
      Write-Verbose "Searching for $SusAppId in the MailItemsAccessed operation in the UAL."
      $SusMailItems = Search-UnifiedAuditLog -StartDate $StartDate -EndDate $EndDate -Operations "MailItemsAccessed" -ResultSize 5000 -FreeText $SusAppId -Verbose | Select-Object -ExpandProperty AuditData | Convertfrom-Json
      #You can modify the resultant CSV output by changing the -CsvName parameter
      #By default, it will show up as MailItems_Operations_Export.csv
      Export-UALData -ExportDir $ExportDir -UALInput $SusMailItems -CsvName "MailItems_Operations_Export" -WorkloadType "EXO"
    } else {
      Write-Host
"MailItemsAccessed query will be skipped as it is not present without an E5/G5 license."

Por qué Advanced Audit debería formar parte de todos los niveles de licencia

La seguridad es siempre un equilibrio entre las necesidades y los presupuestos, entre los costos y las tarifas de licencia. Tanto en términos de soluciones como de ingresos generados, Microsoft se está convirtiendo en el líder de facto en seguridad. Ese liderazgo también está creando una división entre los que tienen y los que no tienen, o más bien, entre aquellos que tienen o no las licencias E5 o G5 adecuadas para las herramientas.

El experto en Exchange, Tony Redmond, escribió en marzo del 2020 que este elemento de auditoría ha tardado en llegar. Sin embargo, no estoy de acuerdo con su punto de vista respecto a la necesidad de hacer del evento MailItemsAccessed un evento de seguridad premium, por el que las empresas deben pagar por usuario. No me parece apropiado. Dados los crecientes ataques a las propiedades de la nube, la auditoría y el registro deben integrarse en la plataforma y no como un elemento premium. Si bien es posible que no siempre necesite estos eventos, cuando tenga que investigar lo que sucedió en mi ambiente, los necesito disponibles cuando ocurre una intrusión.

Microsoft afirma que debemos "asumir una intrusión. Deben asumir que también seremos irrumpidos y asegurarse de que los recursos fundamentales para la investigación se incluyan con el Microsoft 365 básico, que se proporciona incluso a los clientes más básicos. No es suficiente que estos recursos estén disponibles para la compra; deben incluirse en el producto de forma nativa.

La auditoría de la normalidad en Exchange, sin una licencia E5, incluye tracking update, movetodeleteditems, softdelete, harddelete, updatefolderpermissions, updateinboxrules, y updatecalendardelegation. Como Joe Stocker escribió, "Sin MailItemsAccessed, solo podríamos decir que el atacante tenía la capacidad de acceder a todos los contenidos del buzón, pero no pudimos determinar a qué correos electrónicos accedió. Sin esta herramienta clave de auditoría, es posible que no pueda acotar el enfoque y limitar mejor su investigación, y no podrá determinar el impacto en su organización.

Revise sus necesidades de estas técnicas avanzadas de auditoría y determine si su organización necesita la capacidad de identificar exactamente a qué accedieron los atacantes en su ambiente. Es posible que necesite licencias adicionales para acotar sus investigaciones.